解决公网下,k8s calico master节点无法访问node节点创建的pod

原创 已于 2023-11-16 16:54:03 修改 · 3.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #网络 #服务器

于 2023-11-16 10:13:13 首次发布
本文讲述了如何在Kubernetes集群中解决部署后只能在node节点访问,master节点无法访问的问题,通过配置公网IP、创建虚拟网卡及调整calico网络设置来实现跨节点访问。

目的:解决pod部署成功后,只能在node节点访问,而master节点无法访问

原因:集群搭建时,没有配置公网进行kubectl操作,从而导致系统默认node节点,使用内网IP加入k8s集群!如下:

解决方案:围绕公网IP进行搭建即可,其实就是在传统的搭建步骤下,给master节点和node节点添加下公网网卡就可以了

1、机器IP清单

  • 我的两台服务器的都是云服务器
  • 我的master节点IP为111.230开头的
  • 我只有一个node节点,IP为192.168.9.96(该IP与calico网段冲突)

2、重置master节点的kubeadm

kubeadm reset

3、在master节点上创建公网的虚拟网卡

  • 看一下你的公网IP是否在机器中存在
ip a | grep 你的公网IP
  • 如果没有就执行下面这段代码新增一个和公网IP一样的虚拟网卡IP 
cat > /etc/sysconfig/network-scripts/ifcfg-eth0:1 <<EOF
BOOTPROTO=static
DEVICE=eth0:1
IPADDR=111.230.19.178  #这里是你的公网IP
PREFIX=32
TYPE=Ethernet
USERCTL=no
ONBOOT=yes
EOF
  • 重置网络

                

        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
k8s节点pod无法访问

				
			

			

				

					JCWang的博客
				

				

					08-25
					
					1105
					
				

			

		

		

			
				
启动tunl0接口,因为calico需要使用tunl0网卡在各个节点通信。并且主节点以及node2节点都无法ping通node1节点上的pod。除node1,主节点以及node2节点都无法正常访问nginx。k8snode1节点部署nginx后,网络插件为calico。并且也没有相关路由信息。

			
		

	



                

            
              



	

		

			

				
					
master节点上的nodeport端口不通(k8s踩坑)

				
			

			

				

					MssGuo的博客
				

				

					01-03
					
					8512
					
				

			

		

		

			
				
创建了一个nodeport类型的service,端口是80,按道理来说会在每个节点上开启80端口,但是发现master节点上没有开启80端口,node1、node2上均开启了80端口。等方式查看service开启的nodeport端口了,但是我们可以使用telnet命令进行测试。排查防火墙selinux,都是关闭状态的。

			
		

	



              


  
  
              

                


	

		

			

				
					
K8S master 节点IP变了导致访问失败

				
			

			

				

					liming495的专栏
				

				

					10-13
					
					295
					
				

			

		

		

			
				
摘要:K8S Master节点IP从10.115.193.68变更为10.115.193.25后,通过sed批量替换配置文件中的旧IP,并重新生成admin.conf和证书。执行过程中出现API连接拒绝错误,报错显示代理无法连接到6443端口。最后通过执行swapoff、strace诊断和kubectl version命令后,问题意解决。操作包括:替换IP地址、重建配置文件、更新证书,以及故障排查步骤。

			
		

	





	

		

			

				
					
k8s故障修复:部分服务无法通过k8s集群宿主机ip+NodePort访问

				
			

			

				

					qq_42063179的博客
				

				

					08-05
					
					6389
					
				

			

		

		

			
				
部分服务无法通过k8s集群宿主机ip+NodePort访问

			
		

	



		

			
		



	

		

			

				
					
完美解决k8s master节点无法ping node节点中的IP或Service NodePort的IP

					
热门推荐

				
			

			

				

					睡竹的博客
				

				

					11-21
					
					1万+
					
				

			

		

		

			
				
完美解决k8s master节点无法ping node节点中的IP或Service NodePort的IP
完美解决节点无法访问Service的IP

			
		

	





	

		

			

				
					
K8S 不同节点无法访问Pod

				
			

			

				

					very_99的博客
				

				

					07-14
					
					2673
					
				

			

		

		

			
				
#只能运行podnode访问pod id报错的信息:


查看日志发现有报错


查看NW


继续查看,反正不理解什么意思


把NW禁用吧


重启NW再看


ok  curl 就通了为什么呢?

			
		

	





	

		

			

				
					
centos7中kubeadm方式搭建k8s集群(crio+calico)(k8s v1.21.0)所需文件.zip

				
			

			

				

					09-03
				

			

		

		

			
				
在本教程中,我们将深入探讨如何使用`kubeadm`在CentOS 7上构建一个基于Kubernetesk8s)v1.21.0的集群,并结合cri-o容器运行时和Calico网络策略。`kubeadm`是官方推荐的Kubernetes集群初始化工具,它简化了集群的...

			
		

	





	

		

			

				
					
k8s节点部署(仅master

				
			

			

				

					jialiu111111的博客
				

				

					09-28
					
					1317
					
				

			

		

		

			
				
wget https://docs.projectcalico.org/v3.8/manifests/calico.yaml   #如果下载不了就用浏览器访问,复制源码粘贴。记得在calico.yaml文件里的625行处把192.168.0.0/16修改为10.244.0.0/16。默认token有效期为24小时,当过期之后,该token就不可用了。问题:因为第4步环境变量设置的是临时的,重启或其他一些行为就会导致这个问题。课件中文件名是:kubernetes-dashboard.yaml。

			
		

	





	

		

			

				
					
K8S V1.23 安装--Kubeadm+contained+公网 IP 多节点部署

				
			

			

				

					github_35735591的博客
				

				

					06-30
					
					6217
					
				

			

		

		

			
				
基于两台公网服务器节点,两个服务器不再局域网内,只能通过公网 IP 相互访问,搭建 K8S 集群,并且按照 Dashboard,通过网页查看 K8S 相关的东西

			
		

	





	

		

			

				
					
k8s master不能访问NodePort端口,但可以访问node节点NodePort端口。

				
			

			

				

					zixuan_zhao的博客
				

				

					07-15
					
					7809
					
				

			

		

		

			
				
master不能访问NodePort端口,但可以访问node节点NodePort端口的解决

			
		

	





	

		

			

				
					
Kubernetesk8s访问不了Pod服务

				
			

			

				

					向之 所欣
				

				

					12-05
					
					1167
					
				

			

		

		

			
				
在网上找了很久的答案,最后还是没解决,后来突然想起来一直是在k8s的主节点访问的服务,有可能服务被默认部署到从节点上了,随后使用命令查看了服务的部署情况。在k8s集群部署java web应用的服务时,浏览器访问不了pod服务或linux终端。果然😅😥😓😥😣,部署到从节点上了,然后访问节点的端口。

			
		

	





	

		

			

				
					
[问题已处理]-kubernetesmaster节点无法ping通nodepod的cluster ip

				
			

			

				

					爷来辣的博客
				

				

					08-21
					
					8616
					
				

			

		

		

			
				
问题描述:  kubernetes创建了一个svc,里面只有一个pod,使用nodeport方式访问,只有容器在的那个节点加上nodeport端口可以访问,测试ping 容器的cluster ip 发现另一个节点不通。
master机子ping 2台node上的pod 只有n002上通

猜测是网络的问题   查看flannal的pod状态是好的,但是通过docker ps 查看发现flannel容器退出,并且使用docker 命令删除容器后 新起的容器一下子就会退出。

联想到之前测试过节点重启后的情况,

			
		

	





	

		

			

				
					
Kubernetes提示:在无法访问节点上运行的Pod会发生什么?

				
			

			

				

					linjingyg的博客
				

				

					01-14
					
					433
					
				

			

		

		

			
				
  由于各种原因,工作节点与主节点断开连接是很常见的。 在这种情况下,我们需要回答很多问题,例如,主节点是否删除在不可达节点上运行的Pod?,Kubernetes控制器的行为如何?,Pod是否继续在工作节点上运行? 简而言之,我们正在寻找的是当节点变得不可访问时,Kubernetes系统的行为如何?

  定义:在Kubernetes中,不可达节点被称为分区节点。

  为了了解操作方法,让我们创建一个分区节点方案并了解其行为。

  示例集群。

  所考虑的示例集群具有一个主节点和3个工作节点。 创..

			
		

	





	

		

			

				
					
k8s nodeport无法访问_k8s系列教程二:极速入门

				
			

			

				

					weixin_39912163的博客
				

				

					11-28
					
					1813
					
				

			

		

		

			
				
作者:潘吉祥 | 转载请注明来源环境准备1. centOS-7(虚拟机或物理机均可)2. 关闭防火墙,更新源systemctl disable firewalld #禁用防火墙systemctl stop firewalld #关闭防火墙yum update #更新yum源3.安装etcd和kubernetesetcd作为kubernetes的信息保存中心,相当于我们熟知的zookeeper。这里...

			
		

	





	

		

			

				
					
kubernetes 两个 nodepod 无法互相访问_K8s 节点断开连接后,本在运行的 Pod 会如何?...

				
			

			

				

					weixin_39840606的博客
				

				

					11-21
					
					677
					
				

			

		

		

			
				
作者:Bhargav Bhikkaji翻译:Bach(才云)校对:星空下的文仔(才云)、bot(才云)由于各种原因,工作节点与主节点断开连接的情况会经常发生。在这种情况下,其实有很多问题,例如,主节点是否删除了在无法连接的节点上运行的 PodKubernetes 控制器的行为如何?Pod 是否在工作节点上继续运行?简而言之,我们想知道当节点变得不可访问时,Kubernetes 系统行为是什么样子...

			
		

	





	

		

			

				
					
记录一次k8s pod之间ip无法访问,问题排查与定位_pod ip不通-优快云博客

				
			

			

				

					忙碌的吴小二博客
				

				

					05-16
					
					805
					
				

			

		

		

			
				
记录一次k8s pod之间ip无法访问,问题排查与定位问题展现现象node之间通信正常 部分node上的pod无法通信排查有问题node使用启动网络测试工具环境准备docker数据库mysql使用有状态副本集合---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  annotations:
    k8s.kuboard.cn/displayNa...

			
		

	





	

		

			

				
					
k8s service nodePort无法访问的问题

				
			

			

				

					weixin_45958218的博客
				

				

					11-11
					
					5808
					
				

			

		

		

			
				
K8s集群中各节点无法访问问题

			
		

	





	

		

			

				
					
kubernetes master 不能访问NodePort

				
			

			

				

					eif88的博客
				

				

					03-31
					
					1867
					
				

			

		

		

			
				
解决办法
设置net.ipv4.ip_forward=1参数:
#!/bin/sh
cat > /etc/sysctl.d/99-ipv4_forward.conf <<EOF
net.ipv4.ip_forward=1
EOF
sysctl --load=/etc/sysctl.d/99-ipv4_forward.conf



			
		

	





	

		

			

				
					
kubernetes 两个 nodepod 无法互相访问_Kubernetes学习之基本概念

				
			

			

				

					weixin_39796116的博客
				

				

					11-21
					
					515
					
				

			

		

		

			
				
Master集群的控制节点,负责整个集群的管理和控制kube-apiserver:提供HTTP Rest 接口关键服务进程,是所有资源增删查等操作入口,也是集群控制的入口进程kube-controller-manager:kubernetes 里所有资源对象的自动化控制中心kube-scheduler:负责资源调度(Pod调度)的进程etcd:保存kubernetes所有资源对象的数据,存储Nod...

			
		

	





	

		

			

				
					
k8s工作节点登到master节点上去

					
最新发布

				
			

			

				

					12-05
				

			

		

		

			
				
<think>
根据用户的问题,用户想要了解如何从Kubernetes工作节点登录到主节点。这是一个关于Kubernetes节点间通信的操作问题。

 在Kubernetes集群中,工作节点(Worker Node)和主节点Master Node)通常位于同一个网络内,但出于安全考虑,直接登录主节点可能不是默认配置。以下是几种常见的登录方法:

 1. **通过SSH登录**:如果工作节点和主节点之间网络互通,并且主节点开启了SSH服务,那么可以从工作节点使用SSH命令登录到主节点。这需要事先在主节点上配置好SSH访问权限(例如,将工作节点的公钥添加到主节点的授权密钥中)。

 2. **通过Kubernetes API Server代理**:如果用户希望执行Kubernetes管理操作,可以通过kubectl proxy或者直接访问API Server的地址(通常主节点上运行着API Server)。但是,这并不等同于登录到主节点的操作系统。

 3. **通过跳板机或堡垒机**:在生产环境中,通常不会允许直接从工作节点登录主节点,而是通过一个安全的跳板机进行访问。

 由于Kubernetes本身并不提供节点间直接登录的功能,这依赖于集群网络配置和节点访问控制。

 根据引用[2]中提到,工作节点在加入集群时需要配置Master节点的URL,这说明工作节点需要能够访问Master节点的API Server(通常是6443端口),但这并不包括SSH登录。

 因此,重点介绍SSH登录的方法:

 步骤:
 1. 确保主节点已开启SSH服务(默认端口22)。
 2. 在工作节点上生成SSH密钥对(如果还没有的话):
    ```bash
    ssh-keygen -t rsa
    ```
 3. 将工作节点的公钥(通常是`~/.ssh/id_rsa.pub`)复制到主节点的`~/.ssh/authorized_keys`文件中。可以使用`ssh-copy-id`命令:
    ```bash
    ssh-copy-id user@master-node-ip
    ```
    如果无法使用`ssh-copy-id`,也可以手动复制。
 4. 从工作节点使用SSH登录主节点:
    ```bash
    ssh user@master-node-ip
    ```

 注意:
 - 主节点的IP地址或主机名必须可以从工作节点访问。
 - 用户需要知道主节点上的一个有效用户名和密码(或者使用密钥认证,如上述步骤)。
 - 生产环境中,建议使用非root用户,并且使用sudo权限。

 另,引用[3]中提到了修改主节点名称,说明用户可能对节点配置有操作权限,所以SSH登录是可行的。

 如果集群是在公有云(如阿里云)上,可能还需要配置安全组规则,允许工作节点的IP访问节点的22端口。

 引用[4]中提到了一键部署单节点Kubernetes(使用k3s),这种情况下主节点和工作节点可能是同一台机器,那么登录主节点其实就是本地登录。但用户明确提到了工作节点登录主节点,所以这里不考虑单节点情况。

 因此,最通用的方法就是SSH。

 但是,需要提醒用户:直接登录主节点通常不是日常操作,除非进行故障排查或系统维护。在Kubernetes集群中,应尽量通过kubectl命令来管理集群,而不是直接操作主节点。

 如果用户无法通过SSH登录(比如没有公网IP的节点),可以考虑使用KubernetesPod作为跳板。例如,在主节点上运行一个Pod(具有hostNetwork权限),然后通过kubectl exec进入该Pod,再通过该Pod登录主节点。但这通常更复杂,而且需要主节点上已经存在可用的Pod。

 所以,推荐的方法是SSH。

 下面整理回答。
</think>要从 Kubernetes 工作节点安全登录到主节点,主要有以下几种方法(根据您的集群配置和网络环境选择):

### 方法 1:通过 SSH 直接连接(需网络互通)
```bash
# 在工作节点执行
ssh <用户名>@<主节点IP或主机名>

# 示例(假设主节点IP为192.168.1.100)
ssh kuberadmin@192.168.1.100
```
**前提条件**:  
1. 工作节点与主节点**网络互通**(同VPC/配置路由)  
2. 主节点已开启 SSH 服务(默认端口22)  
3. 当前用户拥有主节点的 SSH 密钥或密码权限  
4. 安全组/防火墙放行 SSH 流量(云环境需配置)[^2]

---

### 方法 2:通过 Kubectl Proxy(无需直接网络访问)
```bash
# 1. 在工作节点配置kubectl访问权限(需提前拷贝admin.conf)
mkdir -p $HOME/.kube
sudo cp /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

# 2. 建立API Server代理隧道
kubectl proxy --port=8080 &

# 3. 通过代理访问节点(需主节点有SSH服务)
ssh -o ProxyCommand="nc -X connect -x 127.0.0.1:8080 %h %p" kuberadmin@<主节点主机名>
```
**适用场景**:工作节点无法直连主节点但能访问 API Server[^2]

---

### 方法 3:使用 Jump Pod 跳板(最安全)
```yaml
# 创建跳板Pod(在主节点运行)
apiVersion: v1
kind: Pod
metadata:
  name: jump-pod
  namespace: default
spec:
  nodeName: <主节点名称>  # 指定调度到主节点
  hostNetwork: true      # 共享主机网络
  containers:
  - name: jump-container
    image: alpine:3.14
    command: ["tail", "-f", "/dev/null"]
```
**操作步骤**:
1. 应用YAML:`kubectl apply -f jump-pod.yaml`
2. 进入跳板Pod:`kubectl exec -it jump-pod -- sh`
3. 在Pod内通过`localhost`访问节点服务

---

### 方法 4:使用 Kubernetes Service Account(自动化场景)
```bash
# 创建具有节点访问权限的ServiceAccount
kubectl create serviceaccount node-access

# 绑定权限
kubectl create clusterrolebinding node-access \
  --clusterrole=system:node \ 
  --serviceaccount=default:node-access

# 获取临时Token(用于API调用)
kubectl create token node-access
```
**用途**:通过 Kubernetes API 执行 `kubectl debug` 或访问节点指标[^3]

---

### 安全建议
1. **最小权限原则**  
   ```bash
   # 创建专用登录用户(非root)
   sudo useradd -m -s /bin/bash kubeadmin
   sudo passwd kubeadmin
   ```
2. **密钥认证替代密码**  
   ```bash
   # 工作节点生成密钥对
   ssh-keygen -t ed25519
   ssh-copy-id kubeadmin@<master-ip>
   ```
3. **审计日志**  
   在主节点启用 SSH 日志记录:  
   ```bash
   # /etc/ssh/sshd_config
   LogLevel VERBOSE
   ```
4. **网络隔离**  
   通过 Calico/Weave 等 CNI 插件配置网络策略,限制 SSH 访问源 IP[^1]

> **故障排查**:若连接失败,检查:  
> 1. 主节点 SSH 服务状态:`systemctl status sshd`  
> 2. 防火墙规则:`sudo iptables -L -n -v`  
> 3. 节点网络连通性:`ping <master-ip>`  
> 4. kubelet 注册状态:`kubectl get nodes`[^2]

---

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 9

	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			
			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
睡竹

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值